將 Oracle Data Safe 連線至 Exadata 和自治式資料庫

此參照架構突顯了將 Exadata 和自治式資料庫連線至 Oracle Data Safe 的不同方式。同時也描述提供安全建置特定目標資料庫連線所需的安全措施。

Oracle Data Safe 是完全整合的區域雲端服務,專注於資料安全性。它提供一組完整的整合式 Oracle Cloud Infrastructure (OCI) 功能,以保護 Oracle 資料庫中的機密和受規範資料。

Oracle Data Safe 為在 OCI 中執行的 Oracle Autonomous Database 和資料庫提供必要的安全性服務。Data Safe 還支援內部部署資料庫、Oracle Exadata Cloud@Customer 和多雲端部署。所有 Oracle Database 客戶都可以使用 Data Safe 來評估組態和使用者風險、監控和稽核使用者活動,以及尋找、分類和遮蔽機密資料,以降低資料外洩的風險並簡化合規性。

歐盟 (EU) 一般資料保護法規 (GDPR) 和加州消費者隱私法 (CCPA) 等法規遵循法律要求企業保護客戶的隱私權。以安全且有效率的方式執行各種代管資料庫,需要管理此資料的安全性。Oracle Data Safe 可協助您瞭解資料敏感度、評估資料風險、遮蔽機密資料、實行和監控安全控制、評估使用者安全性、監控使用者活動,以及滿足資料安全規範需求。

將資料庫新增為目標之後,「資料安全」會識別、分類及排列風險的優先順序,並提供下列項目的全方位評估報表:
  • 安全性 參數
  • 使用中的安全性控制
  • 使用者角色和權限
「資料安全」可協助滿足各種規範需求,例如識別機密資料所在的位置、遮罩機密資料以供非生產使用、安全地擷取稽核資料等等。
稽核規範標準代表一組有助於加速遵守法規標準的稽核原則。它們也有助於評估您是否遵守資料庫規範需求。在「活動稽核」期間,可以啟用兩個稽核規範標準原則來追蹤管理員活動:
  • 網際網路安全中心 (CIS) 組態 - 適用於 Oracle Database 12。2 和更新版本。
  • 安全技術導入指南 (STIG) - 適用於 Oracle Database 21c 和更新版本。
此外,資料庫也包含機密及個人資料。視需要適用下列不同的資料隱私權法律與標準:
  • 歐盟 GDPR - 歐盟一般資料保護法規
  • PCI-DSS - 支付卡產業資料安全性標準,與
  • HIPPA- 健康保險隱私與責任法案
這些隱私權法要求您保護個人資料。

資料遮罩 (也稱為靜態資料遮罩) 是將機密資料永久取代為虛構真實外觀資料的程序。

「資料安全」可以根據超過 150 個預先定義機密資料類型的程式庫來尋找並分類機密資料。這也可以使用自訂資料類型來延伸。

架構

此參照架構概述下列目標資料庫,以及「資料安全」連線至這些資料庫的方式:
  • Exadata Database Service 或 Exadata Cloud@Customer / 區域 Cloud@Customer / 專用區域
  • 自治式資料庫

此參照架構只討論具有專用 IP 位址的資料庫。若要設定使用公用 IP 位址的資料庫,不建議從安全角度來看。

對於此處討論的每個不同部署「資料安全」,您也應該在租用戶中部署登陸區。下列資源使用 terraform 命令檔提供安全與規範、登陸區概念以及在 Oracle Cloud Infrastructure 上部署登陸區的最佳做法:
  • 架構完善的 Oracle Cloud Infrastructure 架構
  • 部署符合 Oracle Cloud CIS Foundations Benchmark 的安全登陸區
  • 符合 CIS 規範的 OCI Landing Zones (GitHub 儲存庫)

附註:

請參閱下方的「探索更多」主題,以存取這些資源。

Exadata Database Service 或 Exadata Cloud@Customer

Oracle Exadata Database Service 在 Oracle Cloud Infrastructure (OCI) 資料中心提供 Oracle Exadata Database Machine 即服務。

Exadata Cloud@Customer 是一項託管服務,提供託管於內部部署資料中心的 Exadata Database Service。

Exadata 資料庫服務

Exadata Database Service 不需要連線至內部部署網路,因為該網路部署在 OCI 上,因此可以直接使用專用端點。設定必要的連線之後,可以使用精靈將資料庫設定為「資料安全」中的目標。

Exadata 客戶私有雲

若要連線 Exadata Cloud@Customer 目標資料庫,有兩個選項:
  • 內部部署連線器
  • 專用終止點

在下圖中,Oracle Cloud 和內部部署資料中心之間會顯示連線。圖表顯示可供選擇的選項。如果有網站至網站 VPN 或 OCI FastConnect 連線,您可以使用專用端點連線至您的 Exadata Cloud@Customer 目標資料安全資料庫。如果沒有 VPN 或 OCI FastConnect,您可以部署內部部署連線器以連線至 Exadata Cloud@Customer 目標資料安全資料庫。此內部部署連線器接著會透過 TLS 通道連線至「資料安全」。


data-safe-exa-adb.png 的描述如下
data-safe-exa-adb.png 圖解描述

資料安全 -exa-adb-oracle.zip

請注意,圖所示,外送、持續且安全的自動化通道會將內部部署資料中心的 CPS 基礎架構連線至 OCI 區域中由 Oracle 管理的管理 VCN,以將雲端自動化命令傳遞給 VM 叢集。這是 CPS 基礎架構的外送通道,無法用於「資料安全」連線。如需詳細資訊,請參閱下方的 'Architecture Exadata Cloud@Customer' 連結。

Oracle 使用 Oracle Operator Access Control (OpCtl) 支援 Exadata Cloud@Customer 環境。OpCtl 是一項 OCI 授權存取管理 (PAM) 服務,為客戶提供一個技術機制,以更好地控制 Oracle 員工如何存取其 Exadata Cloud@Customer (ExaC@C) 基礎架構。如需此項目的詳細閱讀,請參閱下方的「Oracle Operator Access Control」連結。下列資源將詳細描述架構和設定:
  • 架構 Exadata Cloud@Customer
  • 架構 Exadata 資料庫服務
  • 使用專用端點設定 Cloud@Customer 資料庫
  • 使用精靈設定 Cloud@Customer 資料庫
  • 使用 Oracle Data Safe 簡化內部部署 Oracle 資料庫的安全性
  • Exadata Database Service 安全控制

附註:

請參閱下方的「探索更多」主題,以存取這些資源。

自治式資料庫

「資料安全」提供共用基礎架構上的自治式資料庫。您可以透過精靈註冊自治式資料庫,或按一下「自治式資料庫詳細資訊」頁面即可註冊自治式資料庫。Data Safe 文件的本部分討論連線至 Dedicated Region Cloud@Customer 自治式資料庫的步驟。

架構元件

這些架構具有下列元件:
  • Tenancy

    Oracle Autonomous Transaction Processing 是一種自主驅動、自主防護、自主修復的資料庫服務,已針對交易處理工作負載進行最佳化。您不需要設定或管理任何硬體,或安裝任何軟體。Oracle Cloud Infrastructure 負責建立資料庫,以及備份、修補、升級和調整資料庫。

  • 地區

    Oracle Cloud Infrastructure 區域是包含一或多個資料中心 (稱為可用性網域) 的本地化地理區域。區域獨立於其他地區,且遠距離能夠分離它們 (跨國家,甚至是大陸)。

  • 區間

    區間是 Oracle Cloud Infrastructure 租用戶內的跨區域邏輯分割區。您可以使用區間在 Oracle Cloud 中組織您的資源、控制對資源的存取,以及設定使用配額。若要控制對指定區間中資源的存取,請定義可指定可存取資源的人員,以及可執行哪些動作的原則。

  • 可用性網域

    可用性網域是區域內獨立的資料中心。每個可用性網域中的實體資源會與其他可用性網域中的資源隔離,以提供容錯能力。可用性網域不會共用基礎架構,例如電源或冷卻系統,或內部可用性網域網路。因此,一個可用性網域發生故障不太可能影響該區域中的其他可用性網域。

  • 容錯域

    容錯域是將硬體和基礎架構群組在可用性網域內。每個可用性網域都具有三個獨立電源和硬體的容錯域。當您將資源分散到多個容錯域時,您的應用程式就可以容忍容錯域內的實體伺服器故障、系統維護,以及電源故障。

  • 虛擬雲端網絡 (VCN) 與子網路

    VCN 是您在 Oracle Cloud Infrastructure 區域中設定的可自訂軟體定義網路。與傳統資料中心網路一樣,VCN 可讓您完全控制網路環境。VCN 可以有多個非重疊的 CIDR 區塊,您可以在建立 VCN 之後變更這些區塊。您可以將 VCN 分隔到子網路中,而子網路的作用領域可以調整到某個區域或可用性網域。每個子網路都是由連續的位址範圍所組成,這些位址不會與 VCN 中的其他子網路重疊。您可以在建立子網路後變更其大小。子網路可以是公用網路或專用網路。

  • 負載平衡器

    Oracle Cloud Infrastructure Load Balancing 服務提供從單一進入點到後端多部伺服器的自動化流量分配功能。負載平衡器可讓您存取不同的應用程式。

  • 安全清單

    您可以為每個子網路建立安全規則,指定必須允許進出子網路的來源、目的地和流量類型。

  • NAT 閘道

    NAT 閘道可讓 VCN 中的專用資源存取網際網路上的主機,而不會向內送網際網路連線公開這些資源。

  • 服務閘道

    透過服務網關存取 VCN 至其他服務,例如 Oracle Cloud Infrastructure Object Storage。從 VCN 到 Oracle 服務的流量會透過 Oracle 網路結構傳送,而一律不會周遊網際網路。

  • 雲端保全

    您可以使用 Oracle Cloud Guard 來監控及維護 Oracle Cloud Infrastructure 中資源的安全性。Cloud Guard 使用可定義的偵測器處方來檢查資源是否有安全漏洞,以及監控操作員和使用者是否有危險活動。偵測到任何組態錯誤或不安全的活動時,Cloud Guard 會根據您可以設定的回應器處方建議更正動作,並協助採取這些動作。

  • 安全區

    安全區域一開始會強制實行加密資料等原則,並防止整個區間的公用存取網路,以確保 Oracle 的安全最佳做法。安全區域會與相同名稱的區間關聯,並且包含安全區域原則或適用於區間與其子區間的「處方」。您無法新增或移動標準區間至安全區域區間。

  • 物件儲存

    物件儲存可讓您快速存取任何內容類型的大量結構化和非結構化資料,包括資料庫備份、分析資料,以及豐富的內容 (例如影像和影片)。您可以安全地儲存資料,然後直接從網際網路或雲端平台擷取資料。您可以無縫調整儲存體,而不會發生任何效能或服務可靠性的降低情況。針對需要快速、立即及頻繁存取的「熱」儲存使用標準儲存。將封存儲存用於保留一段很長的時間和很少或很少存取的「冷」儲存。

  • FastConnect

    Oracle Cloud Infrastructure FastConnect 提供簡單的方式,讓您在您的資料中心與 Oracle Cloud Infrastructure 之間建立專用、專用連線。與基於網際網路的連線相比,FastConnect 提供更高的頻寬選項以及更可靠的網路體驗。

  • 本地對等互連網關 (LPG)

    LPG 可讓您將一個 VCN 與同一個區域中的另一個 VCN 對等。對等互連意味著 VCN 使用私有 IP 位址進行通訊,而無需流量通過網際網路或通過內部部署網路路由。

  • Autonomous Transaction Processing
    Autonomous Transaction Processing 提供自主驅動、自主防護、自主修復的資料庫服務,可立即擴展以符合各種應用程式的需求:關鍵任務交易處理、混合交易和分析、IoT、JSON 文件等等。建立 Autonomous Database 時,您可以將它部署到三種 Exadata 基礎架構之一:
    • 共用;簡單且靈活的選擇。Oracle 會以自治方式操作資料庫生命週期的所有層面,從資料庫位置到備份與更新。
    • Dedicated on Public Cloud ;公有雲選擇中的私有雲。完全專屬的運算、儲存、網路和資料庫服務,僅適用於單一租用戶,提供最高等級的安全性隔離和治理。
    • Cloud@Customer 專用;資料中心內 Exadata Database Machine 系統上執行之專用基礎架構上的 Autonomous Database,以及連線至 Oracle Cloud 的網路組態。
  • 自治式資料倉儲

    Oracle Autonomous Data Warehouse 是一項自主驅動、自主防護、自主修復的資料庫服務,已針對資料倉儲工作負載進行最佳化。您不需要設定或管理任何硬體,或安裝任何軟體。Oracle Cloud Infrastructure 負責建立資料庫,以及備份、修補、升級和調整資料庫。

  • Autonomous Transaction Processing

    Oracle Autonomous Transaction Processing 是一種自主驅動、自主防護、自主修復的資料庫服務,已針對交易處理工作負載進行最佳化。您不需要設定或管理任何硬體,或安裝任何軟體。Oracle Cloud Infrastructure 負責建立資料庫,以及備份、修補、升級和調整資料庫。

  • Exadata DB 系統

    Exadata Database Service 可讓您在雲端運用 Exadata 的強大功能。您可以佈建彈性的 X8M 系統,讓您隨著需求成長,將資料庫運算伺服器和儲存伺服器新增至您的系統。X8M 系統提供 RoCE (RDMA over Converged Ethernet) 網路,適用於高頻寬和低延遲、持續性記憶體 (PMEM) 模組和智慧型 Exadata 軟體。您可以使用等同於四分之一機架 X8 系統的資源配置來佈建 X8M 或 X9M 系統,然後在佈建之後隨時新增資料庫和儲存伺服器。

建議

針對您的內部部署和 OCI 部署的資料庫實行 Oracle Data Safe 時,請使用下列建議作為起點。 您的需求可能與此處說明的架構不同。
  • VCN

    建立 VCN 時,請根據計畫要連附至 VCN 中子網路的資源數目,決定所需的 CIDR 區塊數目以及每個區塊的大小。使用標準專用 IP 位址空間內的 CIDR 區塊。

    選取未與您要設定專用連線的任何其他網路 (在 Oracle Cloud Infrastructure 、內部部署資料中心或其他雲端提供者中) 重疊的 CIDR 區塊。

    建立 VCN 之後,您可以變更、新增及移除其 CIDR 區塊。

    設計子網路時,請考量您的流量和安全需求。將特定層或角色內的所有資源連附至相同的子網路,以作為安全界限。

    使用區域子網路。

  • 安全

    使用 Oracle Cloud Guard,主動監控及維護 Oracle Cloud Infrastructure 中資源的安全性。Cloud Guard 使用偵測器處方,您可以定義這些處方來檢查資源是否有安全漏洞,以及監控操作員和使用者是否有危險的活動;例如,Cloud Guard 提供偵測器處方,可在資料庫未向「資料安全」註冊時提醒您。

    對於需要最高安全性的資源,Oracle 建議您使用安全區域。安全區域是與 Oracle 定義的安全原則處方關聯的區間,以最佳做法為基礎。例如,安全區域中的資源不能從公用網際網路存取,而且必須使用客戶管理的金鑰加密。當您在安全區域中建立及更新資源時,Oracle Cloud Infrastructure 會根據安全區域處方中的原則來驗證作業,並拒絕違反任何原則的作業。

  • 雲端保全

    複製並自訂 Oracle 提供的預設處方,以建立自訂偵測器和回應器處方。這些處方可讓您指定哪些類型的安全違規會產生警告,以及允許對它們執行哪些動作。例如,您可能想要偵測將可見性設為公用物件儲存的儲存桶。

    在租用戶層級套用 Cloud Guard 以涵蓋範圍最廣,並降低維護多個組態的管理負擔。

    您也可以使用「受管理清單」功能,將特定組態套用至偵測器。

  • 網路安全群組 (NSG)

    您可以使用 NSG 定義一組適用於特定 VNIC 的傳入和傳出規則。我們建議您使用 NSG 而非安全清單,因為 NSG 可讓您將 VCN 的子網路架構與應用程式的安全需求分開。

  • 負載平衡器頻寬

    建立負載平衡器時,您可以選取提供固定頻寬的預先定義資源配置,或指定自訂 (彈性) 資源配置以設定頻寬範圍,讓服務根據流量模式自動調整頻寬。無論是哪一種方法,您都可以在建立負載平衡器之後隨時變更資源配置。

探索更多資訊

進一步瞭解導入適用於 Exadata 和自治式資料庫的 Oracle Data Safe。

請複查這些其他資源:

確認

作者Jacco Steur

貢獻者:Wei Han

變更記錄

此日誌列出重要的變更: